Domande con tag 'javascript'

domande con tag
2
risposte

Che cosa dovrei cercare quando controllo un estensione / plugin di Firefox?

Mi è stato chiesto di fare un controllo di sicurezza su un componente aggiuntivo di Firefox sviluppato da una terza parte. Sono uno sviluppatore web con una ragionevole conoscenza di JavaScript ma non sono un esperto di sicurezza del browser....
posta 11.03.2013 - 17:56
4
risposte

Come passare attraverso JavaScript dannoso?

C'è un virus di Facebook che fa il giro: La tua faccia tra 20 anni (collegamento sicuro, ma non seguire le istruzioni). Cattura chiaramente alcuni Javascript da un URL (ad esempio changeups.info/age/u.php?0.5069423061795533 ) e li esegu...
posta 04.05.2011 - 16:47
5
risposte

Protezione CSRF con ID sessione

Per proteggere contro CSRF, non è possibile che il mio javascript della pagina inserisca dinamicamente l'ID di sessione dal cookie nel corpo di ogni richiesta HTTP appena prima che venga inviato? Il server dovrebbe quindi semplicemente conval...
posta 14.05.2013 - 10:28
2
risposte

Perché i cookie sono considerati più sicuri contro XSS?

Questo articolo discute la memorizzazione dei token di sessione in un cookie vs in localStorage: link L'articolo afferma: Cookies, when used with the HttpOnly cookie flag, are not accessible through JavaScript, and are immune to XSS....
posta 09.03.2016 - 10:21
2
risposte

Cosa fa questo codice iniettato?

Uno dei miei siti è stato appena violato perché questo codice è stato inserito in file casuali (?) e posti all'interno dei file. Qualcuno capisce cosa sta cercando di fare? Sarei felice di ricevere qualsiasi cosa possa aiutarmi a scoprire com...
posta 03.04.2013 - 08:00
1
risposta

Chiusura di un elemento HTML senza utilizzare barre letterali?

Sto esaminando una vulnerabilità in un'applicazione che riecheggia un nome file fornito dall'utente senza disinfettare il nome file. es. un file chiamato test-<script>alert("evil");.txt risulterà in quel testo riecheggiato nell'XHT...
posta 18.11.2011 - 18:36
3
risposte

Che cos'è un buon vettore XSS senza barre e spazi in avanti?

Ho bisogno di un vettore XSS che non usi barre o spazi. Ho esaminato elenchi di centinaia di vettori, ma di solito hanno uno di questi due. Lo spazio ottiene la codifica URL e qualsiasi cosa dopo che una barra viene eliminata. Ho provato cose...
posta 27.12.2013 - 01:31
2
risposte

In che modo i siti Stack Exchange si proteggono da XSS? [duplicare]

Mi sembra che, poiché gli utenti possono inserire domande e commenti al loro interno con markup HTML (possibilmente tag <script> ), i siti Stack Exchange sarebbero molto esposti agli attacchi XSS. Come proteggono da questo?     
posta 30.01.2015 - 20:52
1
risposta

Perché non puoi rubare il token del sincronizzatore per fare CSRF? [duplicare]

Sto leggendo su CSRF e ho trovato i token di sincronizzazione. Non capisco perché non puoi fare un CSRF per ottenere il token per fare un vero CSRF. Esempio: bank.com ha una forma come questa in https://bank.com/transfer : <fo...
posta 26.07.2015 - 20:10
4
risposte

Ho incontrato codice di attacco JavaScript: come faccio a cercare informazioni sulle specifiche dell'exploit?

Quindi, ho fatto clic su un invito LinkedIn ragionevolmente cercando, non pensando prima di passare sopra il link, poiché di solito il client di posta elettronica mi avvisa di queste cose. Una volta capito che sono arrivato su una pagina di e...
posta 07.09.2013 - 11:11